Micropatch schliesst kritische Lücke in OpenOffice

Jetzt ist auch für OpenOffice ein Micropatch verfügbar, der die jüngst entdeckte Zero-Day-Lücke in der freien Büro-Software schliesst. Zuvor wurde der Fehler nur in LibreOffice behoben.

von Stefan Bordel 15.02.2019

Bereits Anfang des Monats publizierte der Sicherheitsspezialist Alex Inführ einen kritischen Fehler, auf den er in den freien Büro-Anwendungen OpenOffice und LibreOffice gestossen war. Im Vorfeld hatte der Experte bereits die Sicherheitslücke an die verantwortlichen Entwickler weitergeleitet. Aber während der Bug in LibreOffice zeitnah behoben wurde, reagierte das OpenOffice-Team nicht auf die Warnung.

Die Sicherheitslücke erlaubt Angreifern, über modifizierte Makros unbemerkt Code auf dem System des Opfers auszuführen. Bereits das Öffnen einer manipulierten ODT-Datei soll dabei ausreichen, um den Zugang zum System zu ebnen. Hierbei wird ein zuvor im Dokument integriertes Skript per Mouseover aktiviert. Sobald der Mauszeiger über den in der ODT-Datei präparierten Link fährt, wird eine vom Angreifer vordefinierte Python-Datei durch das Skript lokal ausgeführt. Der Nutzer erfährt vom Vorgang nichts, da die Office-Tools keine Benachrichtigung ausspielen. Vom Fehler sind sowohl die Windows-Versionen als auch die Varianten für Linux-Systeme betroffen.

In LibreOffice wurde die Schwachstelle schon Ende Oktober 2018 behoben, die aktuellen Versionen 6.2.0 und 6.1.5 sind daher schon abgesichert. Nutzer von OpenOffice müssen hingegen selbst Hand anlegen. Für sie ist ab sofort ein freier Micropatch verfügbar, der die kritische Schwachstelle behebt. Leider ist der Patch aktuell nur für die Windows-Version von OpenOffice zu haben – Linux-Nutzer gehen leer aus.

Um an den Micropatch zu gelangen, ist eine Anmeldung beim Entwickler 0patch erforderlich. Danach muss noch die Agent-Software für den Download des Patches installiert und registriert werden.

Problematischer Software-Support in OpenOffice

Die einstige Open-Source-Perle OpenOffice entwickelt sich mehr und mehr zur kränkelnden Legacy-Anwendung. Während sich der Fork (das von OpenOffice abgespaltete Projekt) LibreOffice einer lebhaften Software-Pflege mit beständig neuen Funktionen, Anwendungen und optischen Optimierungen erfreut, dümpelt OpenOffice monatelang auf einer Version vor sich hin und trägt damit auch entsprechend viele Altlasten und Bugs mit sich herum. Schon im Jahr 2016 zog der Chef-Entwickler Dennis Hamilton daher ein mögliches Ende der alternativen Büro-Suite in Betracht.

Kommentare

Keine Kommentare

Sie müssen eingeloggt sein, um Kommentare zu verfassen.